Warum und wie Oneconsult an vorderster Front mit dabei sein will

Sie sind seit über 13 Jahren für Oneconsult tätig. Keine Selbstverständlichkeit in der heutigen Arbeitswelt. Was hat Sie an Oneconsult so gepackt?

Tobias Ellenberger: Eigentlich ist es schade, dass es heute etwas Besonderes ist, wenn jemand lange bei einem Unternehmen bleibt. Was mich an Oneconsult begeistert, sind das Team und das spannende Themenfeld, in dem die Firma tätig ist. Das Themenfeld entwickelt sich ständig weiter und bringt immer wieder neue Herausforderungen hervor, die einen auch mal dazu bringen, alles neu zu denken.

Und Oneconsult spezifisch?

Oneconsult bietet ein sehr stimmiges Umfeld und viel Freiraum. Es wird nicht alles bis zum letzten Kugelschreiber kontrolliert. Jeder möchte das Beste für Oneconsult und den Kunden. Das schätzen auch andere im Team, denn ich bin nicht der einzige, der schon viele Jahre im Unternehmen ist. Als ich anfing, bestand das Team aus einer sehr überschaubaren Anzahl Mitarbeitenden. Heute beschäftigt Oneconsult über 50 Personen. Vor kurzem feierten wir sogar die erste theoretische Pensionierung.

Was meinen Sie mit "theoretischer" Pensionierung?

Er ist noch immer da (lacht). Er hat das Pensionsalter erreicht. Aber auf gegenseitigem Wunsch arbeitet er aktuell weiterhin für uns, was alle freut Wir haben somit die ganze Bandbreite vom Lehrling bis zum Pensionierten.

Wann fing Ihre Interesse an Cybersecurity an?

Das fing schon sehr früh an. Als ich noch klein war, schafften meine Eltern einen PC an. Das war noch einer dieser ganz alten Kisten - ein Commodore. Mein primäres Interesse in dem Alter waren natürlich Computerspiele. Meine Eltern wollten hingegen, dass der Junior weniger am PC spielt. Also versuchten sie es mit einem Passwortschutz. Ich sah das eher als eine Herausforderung und überlegte, wie ich den Computer ohne Passwort nutzen konnte.

Sie haben zum Jahresbeginn Oneconsult von dessen Gründer Christoph Baumgartner übernommen. Wie verlief die Übernahme?

Smooth (lacht). Dieser Führungswechsel wurde ja nicht von heute auf morgen entschieden. Wir planten den Wechsel über einen längeren Zeitraum. Wir arbeiteten entsprechend lange darauf hin und passten die Organisation an, wo es nötig war. Und ich glaube, das haben wir gut hingekriegt.

Christoph Baumgartner, Gründer und Verwaltungsratspräsident von Oneconsult. (Source: zVg)

Inwiefern wurde die Organisation angepasst?

Wir erweiterten das Management Board mit neuen Personen. So konnten wir gewisse Aufgaben im Unternehmen neu verteilen. Wir analysierten sehr genau, wer für was zuständig ist und verstärkten uns personell dort, wo mehr Ressourcen nötig waren. Oneconsult war also gut vorbereitet auf den Wechsel und es kam nicht zu einem plötzlichen Schnitt in den Verantwortlichkeiten.

Wie gross war der Schritt vom COO zum CEO?

Weil wir alles schon seit einiger Zeit vorbereitet hatten, war der eigentliche Führungswechsel kein weltbewegendes Ereignis mehr. Als ich am 3. Januar zur Arbeit kam, hatte ich nicht das Gefühl, dass nun alles anders ist.

Fiel es Baumgartner schwer, das Unternehmen, das er gegründet hat, in Ihre Hände zu übergeben? Schaut er Ihnen noch ab und zu prüfend über die Schulter?

Ob es ihm leichtfiel, müssten Sie ihn selbst fragen. Aber natürlich fühlt man sich sehr eng mit einer Firma verbunden, wenn man sie selbst gegründet und anschliessend 16 Jahre lang geführt hat. Entsprechend interessiert es ihn nach wie vor, wie es der Firma geht. Und als Verwaltungsratspräsident hat er ja auch eine gewisse Aufsichtspflicht. Wir tauschen uns also weiterhin regelmässig aus. Diesen Austausch mit jemanden, der nicht mehr im Tagesgeschäft ist, aber sehr gut weiss, wie der Markt und das Unternehmen funktionieren, finde ich sehr wertvoll. Aber ich habe überhaupt nicht das Gefühl, kontrolliert zu werden.

Ist es Ihnen ein Anliegen, in seine Fussstapfen zu treten? Oder wissen Sie schon genau, wo Sie Ihren eigenen Stempel aufdrücken möchten?

Wir sind unterschiedliche Personen aus unterschiedlichen Generationen - und offensichtlich haben wir andere Namen (lacht). Folglich unterscheidet sich wohl auch unser Führungsstil. Aber da reden wir eher von persönlichen Vorlieben. Oneconsult war in den letzten Jahren erfolgreich und wird es auch bleiben. Wir haben die Firma in den vergangenen Jahren gemeinsam gross gemacht und dabei vieles gemeinsam entschieden. Wir sind alle Teil derselben Firma und vertreten dieselben Werte, für die die Firma steht. Diese Werte bleiben gleich - egal wer gerade den Titel CEO trägt.

Was sind das für Werte?

Wir pflegen einen respektvollen Umgang miteinander. Wir geben einander Chancen, teilen Verantwortungen und sind daran interessiert, dass es Oneconsult und dem Team gut geht. Unser Wertesystem gilt für alle in der Organisation - egal ob man Baumgartner oder Ellenberger heisst. Es ist mir ein Anliegen, dass sich jeder Einzelne wohl fühlt und die Kunden sich gut aufgehoben fühlen bei uns. Dies ist existenziell für den weiteren Erfolg der Firma.

Wie sorgen Sie dafür, dass die Kunden sich wohl fühlen?

Die Grundlage ist das Vertrauen in die Organisation und unsere Mitarbeiter. Auch ist das Thema zu komplex für einen Einzelnen. Wir müssen also zusammen die beste Lösung für die Situation finden. Das steht bei uns schon im Logo: Together against Cyberattacks. Gemeinsam mit den Kunden versuchen wir die Frage zu beantworten, ob sie gehackt werden könnten. Und den Firmen, die diese Frage leider schon mit "Ja" beantworten müssen, helfen wir, da wieder heraus zu kommen. Unser Ziel ist es, dass unsere Kunden möglichst sicher sind. Das kann eine Person alleine nicht machen. Da müssen alle anpacken.

Wir wollen an vorderster Front mit dabei sein.

Können Sie Ihre Strategie für den Schweizer Markt beschreiben?

Wir wollen weiter wachsen und auch Berufseinsteigern die Möglichkeit geben, im Bereich IT-Sicherheit Fuss zu fassen. Es gibt gewisse neue Themen, auf die wir uns zurzeit noch weiter spezialisieren möchten. Das sind Themen, die uns noch langfristig beschäftigen werden und die sich auf die IT-Sicherheit eines Unternehmens auswirken. Dazu zählen etwa Cloud-Dienste wie beispielsweise Azure Active Directory. Diese sind oft das Herzstück eines Unternehmens. Weil wir in diesen Bereichen an vorderster Front mit dabei sein wollen, investieren wir gerade viel Zeit in entsprechende Nachforschungen. Darüber hinaus fokussieren wir uns weiterhin auf die Themen, die wir schon gut beherrschen und wofür man uns kennt.

Tobias Ellenberger in den Berner Büros von Oneconsult. (Source: Netzmedien)

Gibt es noch mehr Themen, die Sie ausbauen möchten?

Wir bauen zudem unsere Kernkompetenzen im Bereich Incident Response und Red Teaming aus. Beim Red Teaming werden simulierte Cyberattacken auf Kunden unter Realbedingungen ausgeübt. Je nachdem was der Kunde wünscht, prüfen wir dabei auch die physische Sicherheit. Das heisst wir hocken vielleicht mal vis-à-vis von dessen Firmengebäude und beobachten, wo die Mitarbeitenden ins Gebäude kommen und ob man da auch hineinkommt, wenn man nicht für die Firma arbeitet. Dabei ist es wichtig, auf die Bedürfnisse, Wünsche und Ziele des Kunden einzugehen.

Können Sie das etwas erläutern?

Es bringt nichts, wenn wir auf eine möglichst clevere Art und Weise von der Kantine in ein Sitzungszimmer einbrechen und dort einen PC infizieren, wenn der Kunde schon weiss, dass das möglich ist. Vielleicht sind die Geräte aus genau dem Grund bereits an einem getrennten Netzwerk angeschlossen. In so einem Fall hätten wir unser Ziel verfehlt und der Kunde kann seine Sicherheit durch den Test nicht erhöhen.

Wie oft überprüft Oneconsult die eigene Sicherheit?

Regelmässig!

Und wie schneidet das Unternehmen dabei ab?

Gut (lacht). Wir nehmen das Thema sehr ernst. Ausserdem müssen wir gewisse Auflagen erfüllen, um etwa gerichtsfeste forensische Analysen in unserem eigenen Labor zu erstellen. Ferner sind wir Partner von sehr namhaften Firmen, die teilweise ebenfalls gewisse Vorschriften erfüllen müssen - auch was ihre Zulieferer betrifft. Dadurch ist unser Sicherheitsbewusstsein entsprechend hoch. Damit das so bleibt, führen wir regelmässige Awareness-Trainings durch und lassen uns zudem von Externen testen. Ferner spielen wir immer wieder Szenarien in Tabletop-Übungen durch, um zu sehen, wie wir etwa auf eine Ransomware-Infektion reagieren. Es wäre ja nicht korrekt, wenn wir unseren Kunden immer wieder sagen, wie wichtig solche Übungen sind, uns aber nicht an unsere eigenen Ratschläge halten würden.

Wie muss man sich so ein forensisches Labor vorstellen?

Das ist ein Raum mit einem Computer (lacht). Nein, da gibt es wie gesagt gewisse Regeln und Vorschriften, die Anforderungen an eine solche Einrichtung vorschreiben. So müssen wir beispielsweise eine saubere Beweismittelkette gewährleisten können. Damit ein Beweisstück in einem Gerichtsfall genutzt werden kann, müssen wir lückenlos belegen können, wer wann was damit gemacht hat. Zudem müssen wir die Beweisstücke unterschiedlicher Verhandlungen getrennt aufbewahren. Es kann nicht sein, dass jemand, der an einem Fall arbeitet, Zugriff hat auf die Beweisstücke eines ganz anderen Falls. Dafür haben wir Tresore im Labor. Wir machen aber nur digitale Forensik. Mein Team geht nicht in weissen Kitteln zu einem Tatort, um Fingerabdrücke zu nehmen.

Sie sagten, Sie wollen mit Oneconsult weiter wachsen. Wie wichtig ist dabei das Thema Expansion?

Wir bauen zurzeit ein neues Büro in der Stadt Zürich auf. Im Sommer wollen wir es eröffnen. Aktuell diskutieren wir im Management Board noch über die bei solchen Projekten nötigen Trends wie etwa "New Work". Das beinhaltet Fragen wie: "Wie sollen die Büros aussehen?", "Wie regeln wir Homeoffice?" und "Wie werden wir zusammenarbeiten?"

Wie viele Personen werden Sie dafür einstellen?

Wir haben bereits viele Mitarbeitenden, die aus der Stadt Zürich kommen. Aktuell arbeiten diese in Thalwil an unserem Hauptsitz. Thalwil ist zwar in der Nähe von Zürich, aber deutlich weniger zentral. Ausserdem sind unsere dortigen Büros auch nicht in der Umgebung des lokalen Bahnhofs. Grundsätzlich haben unsere Mitarbeitenden die freie Wahl, wo sie arbeiten möchten.. Die Stadt ist ein attraktiver Arbeitsort. Wie viele letztlich dort arbeiten werden, müssen wir noch sehen. Und wenn jemand sich gerade angesprochen fühlt: Wir haben noch ein paar offene Stellen ausgeschrieben (lacht).

Wir wollen nicht nur in der Schweiz wachsen.

Oneconsult ist ausserhalb der Schweiz bereits in München präsent. Planen Sie weitere Länder­gesellschaften?

Wir wollen nicht nur in der Schweiz wachsen. Ich halte es für sinnvoll, in den wichtigsten Märkten eigene Niederlassungen zu haben. Wir haben soeben eine Gesellschaft in Auckland, Neuseeland, gegründet und sind mit Mitarbeitenden vor Ort vertreten. Wir suchen aber noch nach den richtigen Büroräumlichkeiten.

Wie wichtig ist das internationale Geschäft von Oneconsult im Vergleich zu den Aktivitäten in der Schweiz?

Cybersecurity - und auch das Internet ganz allgemein - kennt keine typischen Landesgrenzen. Sich international auszutauschen, ist also Pflicht. Der internationale Austausch ist wichtig, um zu wissen, was gerade in anderen Märkten passiert. Welche Ransomware macht sich etwa gerade in anderen Teilen der Welt breit? Und ist das ein lokales Problem oder könnte das Schadprogramm pandemisch werden und auch die Schweiz erreichen? Insbesondere ist es wichtig, die Indicators of Compromise (IOC) - also die Merkmale einer Infektion - zu teilen. Das gehört zum guten Ton in der Branche. Es ist nicht sinnvoll, wenn jedes CSIRT (Computer Security Incident Response Team) weltweit dieselbe Analyse derselben Malware machen muss, wenn jemand diese Arbeit schon erledigt hat. Zum Zweck dieses Austauschs ist Oneconsult unter anderem Mitglied von FIRST - dem globalen "Forum of Incident Response and Security Teams". Auch bei den Swiss Cyber Experts bin ich als Vizepräsident tätig, da sogenannte Public Private Partnerships ein Schlüssel zum ­Erfolg gegen Cyberkriminalität sind.

Im August gründete Oneconsult mit MLL, Farner und Cybera den "Cyber Incident Hub" (CIH). Wie läuft das Projekt?

Der Hub läuft sehr gut. Wir sind gerade mit dem Onboarding der ersten Kunden beschäftigt und führen die ersten Workshops durch.

Worin unterscheidet sich das Angebot von anderen im Markt?

Der Mehrwert liegt darin, dass die wichtigsten Disziplinen für einen Ernstfall zu einem One-Stop-Shop zusammengefasst werden. Wenn es zu einem Vorfall kommt, ist sehr schnell vielfältige Expertise gefragt. Mit dem Hub können wir innerhalb kürzester Zeit Spezialisten aus verschiedenen Bereichen vor Ort haben: Incident Response und digitale Forensik von Oneconsult, auf Cyber spezialisierte Rechtsberatung durch MLL, Krisenkommunikation von Farner und Cybera hilft, wenn durch Betrug Gelder entwendet werden angemessen und vor allem schnell zu reagieren.

Reverse Engineering einer Malware ist für uns unser täglich Brot.

Wie attraktiv ist das Angebot für eine Firma, die ­etwa bereits eine eigene Rechtsabteilung hat?

Es ist eine Frage des Know-hows und der Ressourcen. Wenn man von einer Cyberattacke betroffen ist, löst man dieses Problem nicht in einer Woche. Das kann Wochen, Monate oder sogar Jahre dauern. Hat die eigene Rechtsabteilung wirklich die Ressourcen, sich so lange damit zu beschäftigen? Wer kümmert sich in der Zeit um die Projekte, welche die Abteilung eigentlich erledigen sollte? Und auch wenn ein Konzern ein eigenes Security Operations Center (SOC) betreibt, heisst das nicht, dass die Firma das Reverse Engineering einer Malware übernehmen kann. Für uns ist das unser täglich Brot. Die Experten, die wir in diesem Hub vereinen, haben die nötige Routine, sie kennen alle Feinheiten und wissen, wo die Risiken sind. Diese Übung ist enorm wichtig. Ich vergleiche das immer gerne mit dem Boxenstopp bei Formel-1-Rennen.

Das müssen Sie noch etwas genauer erklären.

Das Team von Red Bull stellte 2019 in Brasilien den Rekord im Reifenwechsel auf: 1,82 Sekunden. Bei diesen Rennen zählt jede Sekunde; ein schneller Boxenstopp kann also matchentscheidend sein. Und so ein Rekord erzielt man nur, wenn alle Abläufe wirklich sitzen und jeder genau weiss, was er zu tun hat. Darum übt man diese Prozesse immer wieder. Im Ernstfall gibt es keine unwichtigen Aufgaben. Sogar die Person, die mit einem Schildchen vor dem Formel-1-Wagen steht, ist essenziell. Denn sie kommuniziert mit dem Fahrer und sagt ihm, wo er halten muss. Liegt der Wagen nur ein paar Zentimeter daneben, muss das Team sich neu orientieren und verliert Zeit beim Reifenwechsel. Wenn man schnell richtig reagieren will, muss man also die Tools, die Mitarbeitenden sowie die Partner kennen und ihnen vertrauen können. Das gelingt nur, wenn man es vorher übt und diese Übungen sehe ich noch viel zu selten.

Wie funktioniert der Ablauf? Meldet man sich im Ernstfall bei euch oder bezieht man diesen Service quasi wie in einem Abo?

Es ist nie sinnvoll, den Ernstfall im Ernstfall zu üben. Man kann den CIH aber auch kurzfristig aufbieten. Im Besten Fall hat man sich zuvor koordiniert und ist die Zusammenarbeit schon etabliert, wenn sie im Notfall gefordert wird. Wichtig ist aber, dass wir keine internen Ressourcen ersetzen möchten. Wir wollen sie ergänzen und unterstützen.

Wie kam das Angebot im Markt an?

Der Rücklauf war sehr positiv. Die Kunden schätzen, dass sie einen einzelnen Ansprechpartner haben, sollte es zu einem Zwischenfall kommen. Und sich die beteiligten Parteien selbständig koordinieren. Das macht solche schwierigen Situationen etwas angenehmer. Der Kunde kontaktiert seine Ansprechperson und dann ist das Problem für ihn eigentlich erledigt; der Hub kümmert sich anschliessend darum. Der grosse Koordinationsaufwand, den man nicht unterschätzen darf, fällt für den Kunden weg.

Mit den Fähigkeiten, die Sie und Ihr Team haben, könntet Ihr wohl genauso gut auf die andere Seite wechseln und vielleicht sogar noch sehr viel mehr verdienen. Was hält euch davon ab?

Eine spannende Frage. Ich kann nur für mich persönlich antworten. Ich sehe es als ein Privileg, dass wir dieselben Tools und Methoden nutzen dürfen wie die Hacker, aber damit etwas Gutes tun können für unsere Kunden. Wir helfen ihnen, sicherer zu werden. Dassselbe Know-how ist dann wiederum notwendig, um Kunden im Ernstfall zu begleiten. Und es mag zwar sein, dass man auf der anderen Seite mehr verdient - aber dafür ist auch das Risiko deutlich grösser. Man muss sich konstant mit dem Stress auseinandersetzen, dass man jederzeit erwischt werden könnte.

In der Cybersecurity fokussiert man sich viel zu oft auf die negativen Trends - alles, was gerade schiefläuft. Erkennen Sie auch positive Entwicklungen?

Sehr vieles läuft bereits in die richtige Richtung. Dass die Massenmedien mehr über Cybersecurity-Themen berichten, fördert das Sicherheitsbewusstsein von Unternehmen und der Bevölkerung. Man weiss nun, dass man Sicherheit schon im Entwicklungsstadium miteinbeziehen sollte und dass ein Pentest alle drei Jahre nicht ausreicht. Es gibt zwar noch immer Unternehmen, die fälschlicherweise annehmen, kein Hacker würde sich für sie interessieren. Aber glücklicherweise kommen vermehrt Anfragen von Firmen, die proaktiv werden wollen. Ich begrüsse es ausserdem, dass es heute komplette Studiengänge für Cybersecurity gibt. Als ich damals anfing, musste man sich alles während eines Informatik-Studiums oder einer Informatiklehre selbst beibringen.

Ich finde es manchmal erschreckend, dass die Mehrheit der Attacken nicht sonderlich komplex ist.

Und weil die Gegenfrage doch auch gestellt werden muss: Was machen Unternehmen noch viel zu ­wenig im Bezug auf ihre Sicherheit?

Ich finde es manchmal erschreckend, dass die Mehrheit der Attacken nicht sonderlich komplex ist. Wirklich fortschrittliche Cyberangriffe sind klar in der Minderheit. Der Hauptumsatz für Cyberkriminelle wird mit simplen Betrugsmaschen generiert. Die Betrüger kommen damit durch, weil viele Firmen ihre Hausaufgaben nicht machen und beispielsweise kein ordentliches Patch-Management implementiert haben. So machen sie es den Cyberkriminellen viel zu oft viel zu einfach. Es liegt aber wohl auch daran, dass die gute und die dunkle Seite der IT hochqualifizierte Fachkräfte benötigen - und die gibt es nun mal nicht wie Sand am Meer. Ausserdem werden die eigenen Mitarbeitenden noch zu oft als ein Risikofaktor betrachtet und behandelt.

Wie meinen Sie das?

Man spricht zu oft von der "Schwachstelle Mensch" - ein problematischer Begriff. Die Mitarbeitenden müssen als Chance gesehen werden. Denn der Mensch ist nur ein Angriffsvektor. Fokussiert man sich lediglich auf diesen Vektor, eröffnet das Hackern andere Wege ins Firmennetzwerk. Sie können sich die Frage stellen: Werden meine Mitarbeitenden einen Vorfall melden, wenn man sie ständig als das Problem betrachtet? Wenn man auf einen gemeldeten Vorfall reagiert mit der Frage: "Auf was für komischen Websites warst du wieder?", wird diese Person das nächste Mal vermutlich nichts sagen, wenn sie einen Virus entdeckt. Wenn man den Mitarbeitenden aber zu verstehen gibt, wie ihre Hinweise zum Schutz der Firma beitragen, verstehen sie, dass alle an einem Strang ziehen. Nur so kommt man als Firma vorwärts.

Persönlich: Tobias Ellenberger ist CEO von Oneconsult, Aufsichtsratsvorsitzender von Oneconsult Deutschland und im Board of Directors des Cybercrime-Start-ups Cybera. Als Spezialist für Incident Response und Incident Management ist er Vizepräsident der Public Privat Partnership Swiss Cyber Experts (SCE) und Mitglied der Cyber-Kommission von Digitalswitzerland. (Source: Oneconsult)